Académique Documents
Professionnel Documents
Culture Documents
para realizar
auditoras de
sistemas
6
computacionales
179
2 2
Auditora en sistemas computacionales
Mtodo:
Del griego: methodos, de meta, con y odos, va. Modo razonado de obrar y hablar [...]
Modo de realizar las cosas con orden. Procedimiento para hallar el conocimiento y en-
searlo. Conjunto de normas, ejercicios, etc., para ensear o aprender algo.2
Manera de efectuar una operacin o una secuencia de operaciones. 3
Modo prescrito para ejecutar una tarea o trabajo determinado, por el cual se preten-
de alcanzar un objetivo establecido. Procedimiento que generalmente se sigue en las
ciencias, por medio del cual se llega a un resultado vlido. Los mtodos fundamenta-
les son: Analtico, sinttico, inductivo y deductivo. 4
Metodologa:
Del griego Methodos, mtodo, y Logos, tratado. Ciencia que trata del mtodo [...]5
Estudio de los mtodos que se siguen en una investigacin, un conocimiento o una in-
terpretacin. 6
Descripcin secuencial de la manera de efectuar una operacin o serie de operaciones.7
Planeacin:
[...] es el proceso de decidir de antemano qu se har y de qu manera. Incluye de-
terminar las misiones globales, identificar resultados claves y fijar objetivos especficos,
4 4
Auditora en sistemas computacionales
Plan:
El plan es un mtodo detallado, formulado de antemano, para hacer algo [...] Un plan
es un curso de accin predeterminado. Esencialmente, un plan tiene tres caractersti-
cas. Primero, debe referirse al futuro. Segundo, debe sealar acciones. Tercero, existe
un elemento de identificacin o causalidad personal u organizacional [...] Los planes se
derivan de las decisiones y ofrecen informacin por adelantado para guiar el compor-
tamiento subsecuente [...]10
Es un instrumento diseado para alcanzar determinados objetivos, en que se definen,
en espacio, tiempo y los medios utilizables para su alcance, se contemplan en forma
ordenada, sistemtica y coherente las metas y polticas, as como los instrumentos y ac-
ciones que se utilizarn.13
Programa:
Conjunto estructurado de diversas actividades con un cierto grado de homogeneidad
respecto del producto o resultado final, al cual se le asignan recursos humanos, mate-
riales y financieros con el fin de que produzca en un tiempo determinado bienes o ser-
vicios destinados a la satisfaccin total o parcial de los objetivos sealados a una
funcin dentro del marco de la planeacin.14
Son cursos de accin detallados que sealan los pasos especficos que habrn de rea-
lizarse para lograr los objetivos, indicando la secuencia cronolgica y los tiempos de
duracin de dichos pasos.15
5 5
Auditora en sistemas computacionales
Presupuesto:
Estimacin programada en forma sistemtica de los ingresos y egresos que maneja un
organismo en un periodo determinado; puede considerarse como un plan de accin
expresado en trminos monetarios y cuyo ejercicio abarca generalmente un ao de ac-
tividad.16
Evento:
Es la determinacin de acontecimientos que llevan fines especficos de transmisin de
ideas, de imgenes y sonidos, para un fin determinado. 17
Suceso esperado al cual se debe llegar despus de una serie de actividades
Actividad:
Es el conjunto de operaciones ejecutadas o de actos desarrollados por una o varias
personas y que contribuyen al logro de una funcin.18
Una o ms tareas afines que forman parte de una funcin, y son ejecutadas por una
persona o unidad administrativa.19
Conjunto de acciones y movimientos de una persona o cosa [...] Ocupacin a la que
alguien se dedica [...]20
Tiempo:
Del latn Tempus, duracin de los fenmenos [...]
Duracin de las cosas sujetas a cambios. Sucesin continuada de momentos que
constituyen el devenir de lo existente. El existir de un mundo subordinado a un princi-
pio y un fin, en oposicin a la idea de eternidad [...] Periodo ms o menos largo [...]21
Polticas:
Criterio de accin que es elegido como gua en el proceso de toma de decisiones al
poner en prctica o ejecutar las estrategias, programas y proyectos especficos a nivel
institucional. 22
Son esencialmente un principio o varios relacionados entre s con sus consiguientes
reglas de accin que condicionan y gobiernan al logro de un objetivo.23
Tarea:
Es la subdivisin del trabajo para concretizar una actividad. 24
6.3.2 P.2 Realizar una visita prelim inar al rea que ser evaluada
Es recomendable, diramos que casi imprescindible, que el auditor realice una visita pre-
liminar al rea de informtica que ser auditada, justo despus de conocer el origen de
la peticin de auditora, y antes de iniciarla formalmente; el propsito es que tenga un
contacto inicial con el personal de dicha rea y que observe cmo se encuentran distri-
buidos los sistemas, cuntos y cules son los equipos que estn instalados en el centro
de cmputo, cules son sus principales caractersticas, de qu tipo son las instalaciones,
cules son las medidas de seguridad visibles que existen, y en s, que conozca la proble-
mtica a la cual se enfrentar, de manera muy simple y de carcter tentativo.
Para ello, el auditor debe contemplar los siguientes aspectos en dicha visita:
Cules son, a simple vista, las principales caractersticas fsicas de los sistemas que
sern auditados?
Qu tipo de instalaciones y conexiones fsicas hay en el rea de sistemas, y cmo es-
tn distribuidas?
Cmo reacciona el personal ante la visita del auditor?
Cules son las medidas de seguridad visibles que existen?
Cmo actan los usuarios y el personal del rea; ya sea que ignoren la posible audi-
tora o cuando ya lo saben?
Qu limitaciones se observan para la realizacin de la auditora?
Objetivo:
En trminos sencillos, los objetivos representan las condiciones futuras deseadas que
los individuos, grupos u organizaciones luchan por alcanzar. En ese sentido se incluyen
misiones, propsitos, metas, fines, cuotas y plazos [...] En ocasiones se utilizan para le-
gitimar y justificar la funcin de la organizacin en la sociedad [...] En otro sentido, los
objetivos podran ser considerados como el conjunto de limitaciones a las que debe
restringirse la organizacin [...] Los objetivos pueden ser considerados desde tres pers-
pectivas primordiales: 1) el ambiental, limitaciones impuestas a la organizacin por la
sociedad; 2) el organizacional, los objetivos de la organizacin, 3) el individual, los ob-
jetivos de los participantes en la organizacin [...]26
Como podemos observar en esta definicin, el objetivo representa las condiciones
futuras que pretenden alcanzar los individuos, grupos u organizaciones, lo cual es su-
mamente aplicable para el caso de la auditora de sistemas, ya que al establecer el ob-
jetivo de una auditora se busca anticipar lo que se desea alcanzar, ya sea en el rea de
sistemas o en toda la institucin.
Ms concretamente, desde el punto de vista de los autores de referencia, en el ca-
so de una auditora de sistemas el establecimiento del objetivo es el establecimiento de
lo que se pretende satisfacer con dicha auditora; se incluyen los siguientes conceptos:
Misin: Deber moral que se impone a la realizacin de la auditora de sistemas.
Visin: La forma como se ve la realizacin de la auditora y lo que se espera de ella.
Propsitos: Objetivo que se pretende alcanzar con la auditora.
Metas: Fines especficos de la auditora.
Fines: Son los ltimos aspectos que se busca satisfacer con la auditora.
Plazos: Los trminos en unidades de tiempo en que se satisface el fin que se pre-
tende con la auditora.
21 21
Auditora en sistemas computacionales
En el caso especial de esta auditora y por lo tcnico del ambiente donde se reali-
za, estos recursos tienen que ser muy especializados, tanto para la auditora de siste-
mas como para el aspecto informtico.
Para una mejor comprensin de cmo determinar los recursos necesarios para la
auditora de sistemas, a continuacin sealaremos brevemente los principales aspec-
tos de estos recursos:
Adems se contemplan todos los aspectos logsticos que necesitar el auditor pa-
ra el desempeo de sus actividades, tales como sistemas computacionales para su
uso exclusivo, software de evaluacin especializado para auditora, apoyo tcnico in-
formtico especializado en sistemas computacionales, materiales consumibles de sis-
temas y todos los dems requerimientos informticos, de acuerdo a las necesidades
especficas del rea que ser evaluada.
Este documento debe estar unido al anterior, ya que es parte integral de l, y de-
be contener los mismos aspectos sealados para el plan de auditora, slo que se com-
plementa con los siguientes apartados:
Este documento se elabora con el anterior, ya que es parte integral del documento
de planeacin, y debe contener los mismos aspectos sealados para el plan de auditora.
Este documento se divide en esta parte slo para su identificacin y conocimiento,
ya que realmente no puede ser separado, y se complementa con los siguientes puntos,
los cuales tambin se pueden elaborar por separado o en forma conjunta:
37 37
Auditora en sistemas computacionales
integrarn dicho programa; para ello, se deben considerar los recursos que se utiliza-
rn en la evaluacin, ya sean de carcter humano o los adicionales que apoyan el tra-
bajo del auditor.
Dicha estimacin se debe hacer de acuerdo a la disponibilidad de los recursos, a
la prioridad de cada etapa y a la habilidad del responsable de la planeacin.
* En los captulos 9, 10 y 11 se presentan estas herramientas, mtodos y procedimientos utilizados en este punto.
40 40
Auditora en sistemas computacionales
pecfico a cada factor; el auditor establece ese peso a su libre albedro, y de acuerdo a
su experiencia, habilidad y conocimientos sobre el tema.
Lo que se busca en este paso es definir los factores de mayor jerarqua o los ms
representativos de un grupo o sector de sistemas que se desea evaluar. El propsito
fundamental de esta definicin es darle a cada uno de estos factores un valor porcen-
tual (peso especfico), el cual representar la importancia de cada factor en toda la
evaluacin.
* Debido a que ste es uno de los aspectos ms importantes de la auditora de sistemas computacionales, en los
captulos 9, 10 y 11 se trata ampliamente cada uno de estos aspectos; por esta razn, aqu slo se hace una breve
mencin de lo mismos.
42 42
Auditora en sistemas computacionales
que se necesitan para el levantamiento de informacin til para la evaluacin del as-
pecto de sistemas que se trate; de acuerdo con las necesidades, caractersticas y re-
querimientos especficos que fueron sealados en la gua de auditora.
Es de suma importancia que el auditor de sistemas computacionales sepa cmo
elaborar correctamente estos cuestionarios, ya que se debe seguir un mtodo espec-
fico en su formulacin, mediante el cual le permitirn: definir el objetivo del cuestiona-
rio, elegir el tipo de preguntas (dicotmicas, opcin mltiple, abiertas, etctera) y el
nmero de stas; tambin establecer el universo y la muestra de quienes respondern
este instrumento y en s, debe cumplir con caractersticas especficas para el mejor di-
seo de estos instrumentos de recopilacin.*
Recordemos que los cuestionarios son las formas de recopilacin de informacin
ms utilizadas y de mayor utilidad para el auditor, y consisten en recopilar datos, me-
diante la aplicacin de cdulas con preguntas impresas, en donde el encuestado res-
ponde de acuerdo con su criterio, a fin de que el auditor concentre, agrupe y tabule las
respuestas para obtener, por medio del anlisis e interpretacin, informacin significa-
tiva para poder evaluar lo que est auditando.
* En la seccin 9.2 Cuestionarios, del captulo 9, abordaremos con amplitud todo lo relacionado con el cuestio-
nario de auditora de sistemas computacionales.
** En la seccin 9.1 Entrevistas, del captulo 9, se profundizar sobre el uso, caractersticas y aplicacin de este
instrumento de recopilacin de datos.
44 44
Auditora en sistemas computacionales
P.6.3.5 Disear los modelos y formatos para los inventarios del rea
de sistemas
Como resultado de la planeacin de auditora o de la gua de auditora, surge la nece-
sidad de levantar informacin sobre los activos informticos del rea de sistemas, por
esa razn el auditor deber elaborar los formatos en donde se levantarn los inventa-
rios de hardware, software, mobiliario y equipos, personal de sistemas, informacin y
de todos los dems bienes asignados al rea, a fin de compararlos contra los registros
contables de los mismos y evaluar su uso adecuado.**
Los inventarios se definen como: La recopilacin de todos los bienes y materiales
que posee un rea de sistemas, a fin de comparar las existencias reales y confrontar-
las con los registros contables. Es uno de los medios ms valiosos para evaluar el uso
adecuado de los bienes de la empresa, por eso es de suma importancia definir, previa-
mente, el tipo de inventarios a realizar y los modelos o formatos que nos servirn pa-
ra su aplicacin adecuada.
* En la seccin 9.3 Encuestas, del captulo 9, se profundizar sobre la utilidad, uso y formas de aplicacin de es-
te instrumento.
** En la seccin 9.5, Inventarios, del captulo 9, realizaremos un profundo anlisis de las caractersticas, requeri-
mientos y aplicaciones de este instrumento.
45 45
Auditora en sistemas computacionales
cin que sea til para su evaluacin, mediante la eleccin correcta de los mtodos e
instrumentos de muestreo que le permitan tratar mejor a este tipo de recopilacin.*
Esta definicin del tipo de muestreo y herramientas estadsticas debe ser el resul-
tado de la planeacin de la auditora que se define en la gua de auditora.
* En la seccin 9.6, Muestreo, del captulo 9, se hace el anlisis del muestro aplicable a la auditora de sistemas
computacionales.
** En la seccin 10.1, Exmenes, del captulo 10, se profundiza lo relacionado con exmenes al rea de sistemas
46 46
Auditora en sistemas computacionales
Estos puntos sern tratados con amplitud en los captulos 9, 10 y 11 del libro.
* En la seccin 11.1, Guas de evaluacin, del captulo 11; se profundiza sobre el uso y utilidad de este instrumento.
48 48
Auditora en sistemas computacionales
* En el captulo 12 se presentan evaluaciones especficas a los sistemas computacionales. Mientras que en los ca-
ptulos 9, 10 y 11 se presentan las principales tcnicas, herramientas, instrumentos y procedimientos para este ti-
po de evaluaciones.
49 49
Auditora en sistemas computacionales
sobre el informe, slo es la lectura o entrega fsica del dictamen y el informe final de
la auditora. Esta presentacin es de carcter formal y protocolario.